Hacking Cyborgs: Sicherheitslücken bei kybernetischen Implantaten

Pünktlich um 6 Uhr 38 steht Linus am Bahnhof Siselen-Finsterhennen. Fünf Mal die Woche steht er hier, um zur Arbeit zu fahren – das seit 35 Jahren ohne Unterbruch. Auch bei Krankheit ging er jeweils arbeiten. Nein, das stimmt nicht ganz. Letztes Jahr musste sich Linus, 58, einen Herzschrittmacher transplantieren lassen. Deshalb blieb er der Arbeit ausnahmsweise fern.

Mit der obligaten Verspätung von drei Minuten trifft Linus um 7 Uhr 14 in Biel ein. Das Gedränge am Bahnhof ist wie jeden Morgen gross. Plötzlich verspürt er einen Schock, bricht zusammen und steht nie mehr auf. Wie die Obduktion später zeigen wird, ist der Herzschrittmacher die Todesursache. Dieser wurde gehackt und löste einen elektrischen Schock aus, der das Herz von Linus zum Stehen brachte.

Dieses fiktive und zugegebenermassen extreme Beispiel zeigt, wie gefährlich ungesicherte kybernetische Implantate sein können. Sie sind effektiv lebensbedrohlich. Dabei ist erstaunlich, wie wenig bisher dagegen unternommen wurde. Es wird regelmässig über Sicherheitslücken bei Schrittmachern berichtet.

Dass Herzschrittmacher hackbar sind, wurde 2012 einem breiteren Publikum bekannt. Hacker Jack Barnaby zeigte, wie er ohne grossen Aufwand aus ungefähr 15 Metern Entfernung einen Schrittmacher so manipuliern kann, dass dieser einen 830-Volt-Schock abgibt. Ein Szenario wie das von Linus ist sehr wohl denkbar.

Die Hersteller von Schrittmachern scheinen bei der Sicherheit noch nicht so weit zu sein, wie bei der medizinischen Entwicklung. Bis jetzt ist aber glücklicherweise noch kein Fall wie der von Linus publik geworden. Mit fortschreitender Cyborgisierung sollte die Sicherheit aber mehr in den Fokus der Hersteller rücken.

Cyborgs: Angreifbare Subjekte

Cyborgs sind auf dem Vormarsch. Sei es aus medizinischer Notwendigkeit oder dem Streben nach Perfektion: Wir Menschen wollen unsere Körper verbessern. Und das möglichst schnell. Wieso also auf die Evolution warten, wenn es durch Technologie schneller geht? Oder wie es James Scott vom «Institute for Critical Infrastructure Technology» ausdrückt:

Scott ist der Meinung, dass bereits im Jahr 2025 die Cyborgtechnologie weiter ist als in Ghost in the Shell. In seinem Essay «Hacking Cyborgs : By 2025, Non-Augmented Humans Will Be Obsolete. but There’s Bad News...» beschreibt er Sicherheitsbedenken in Bezug auf Cyborgtechnologien. Im Folgenden beziehe ich mich auf Scotts Paper.

Sicherheitsbefreite Technologien

Cyborgtechnologien sind heute gang und gäbe. Vielleicht gehen sie noch nicht in jedem Fall unter die Haut, wie du dir das vielleicht aus Science-Fiction-Filmen vorstellst. Aber mit Smartphone oder Wearables verfügen wir bereits heute über entsprechende Technologien. Bis die unter die Haut gehen, ist es nur eine Frage der Zeit.

Wann wird der Mensch zum Cyborg? Mit diesem Thema befasse ich mich in untenstehendem Text.

Biohacker, Transhumanisten oder eben auch Cyborgs, die sich Technologien selbst verpflanzen, sind heute Realität. Sie sind überzeugt, dass die Verbindung von Mensch und Maschine der nächste evolutionäre Schritt ist. Einige dieser Technologien, wie der eingangs erwähnte Herzschrittmacher, sind medizinisch notwendig. Andere wie NFC-Chips jedoch nicht. Sicherheitsbedenken spielen meist bei beiden keine Rolle. Der Fortschrittsglaube und das Streben nach Komfort sind stärker.

Implantierte Geräte bestehen je nachdem aus Sensoren, Prozessoren, Transmittern/Empfängern und Speicher. Nicht alle Technologien verfügen über alle diese Komponenten. Magnete beispielsweise zählen zu beliebten Implantaten und diese verfügen über keinen Prozessor. Implantate werden häufig mit einem beschränkten Budget entwickelt und müssen für die Transplantation klein sein. Damit sich die Endverbraucher die Geräte leisten können, sind diese meist so abgespeckt, dass sie gar keine Verschlüsselung bieten können.

Kryptografische Algorithmen wurden nicht für so kleine Geräte wie Implantate entwickelt. Die Lebensdauer eines Herzschrittmachers könnte sich durch Einbezug von Verschlüsselung von beinahe zehn Jahren auf wenige Monate verkürzen. Zudem müssten die Geräte grösser gebaut werden, was das Implantieren erschwert.

Einfachheit vor Sicherheit

Neben diesen hardwareseitigen Limitierungen spielt auch der Faktor Mensch eine Rolle. Das fängt dabei an, dass Technologie vor allem bequem sein muss. Niemand will sich mit mühsamen Prozessen rumschlagen. Ein mühsamer Prozess kann die Sicherheit sein. Wer will sich schon in seinen Herzschrittmacher einloggen wenn er nicht richtig läuft und es schnell gehen muss?

Zur Bequemlichkeit zählt auch eine einfache Übertragung. Implantierte Geräte müssen irgendwie mit der Aussenwelt kommunizieren. Das funktioniert meistens mit Bluetooth, NFC oder Wlan. Dadurch ist zwar der Zugriff einfach, aber die Verbindungen sind selten sicher.

Moderne Herzschrittmacher verfügen häufig über Bluetooth, sie sind IoT-Geräte, auf die lokal oder aus der Ferne zugegriffen werden kann.. Der Bluetooth-Standard ist optimal für implantierte Technologien, weil er technisch einfach ist und wenig Strom bei der Verbindung verbraucht. Bluetooth wie auch Herzschrittmacher wurden aber ohne die Sicherheit im Hinterkopf entwickelt. Bluetooth ist kein sicheres Übertragungsprotokoll. Es wurde in den 1990ern für die Office-Verwendung entwickelt. Die Idee dahinter: Geräte sollen schnell und unkompliziert ohne Kabel verbunden werden. Schrittmacher sind aber nicht die einzigen medizinischen Implantate, die Sicherheitslücken aufweisen.

Insulinpumpen können dahingehend manipuliert werden, dass sie eine tödliche Dosis abgeben. Das dank drahtloser Übertragung aus der Distanz, ohne dass es Betroffene bemerken. Noch grösser sollten die Sicherheitsbedenken bei Neuroprothesen sein. Das können Implantate sein, die die direkte Kommunikation von Gehirn zu Gehirn übernehmen. Das Medium Sprache wäre somit überflüssig. Zukunftsmusik, soviel ist klar, aber dennoch ist hier erhöhte Vorsicht geboten.

Neuronale Implantate wie beschrieben gibt es noch nicht für den Massenmarkt. Deren Entwicklung steckt noch in den Kinderschuhen. Umso wichtiger ist es, dass Sicherheitsbedenken bei deren Entwicklung eine Rolle spielen. Wir haben es ja nicht gern, wenn uns jemand Ungebetenes bei unseren Konversationen belauscht. Viel extremer wäre das wohl noch bei einer intimen Gehirn zu Gehirn Diskussion.

Aber nicht nur medizinisch notwendige Implantate sind angreifbar.

Schwachstelle NFC

Ein NFC-Chip ist ein einfaches, medizinisch nicht notwendiges Implantat. Nebst der Anwendung im Privatbereich, werden sie auch im professionellen Bereich angewendet. Angestellte können sie beispielsweise zum Bezahlen oder zum Anmelden an IT-Geräten verwenden. Vor allem letzteres ist jedoch ein grosses Sicherheitsrisiko. Wenn sich jemand die Daten auf den Chips beschafft, kann er diese für seine Zwecke instrumentalisieren. Hinzu kommt, dass Unternehmen das Verhalten ihrer Mitarbeitenden damit verfolgen können.

Da sich NFC-Chips relativ einfach implantieren lassen, erfreuten sie sich in den letzten Jahren grosser Beliebtheit bei Biohackern. Das wird wohl auch noch eine Weile so bleiben. NFC ist eine Art RFID. Im Gegensatz zu anderen RFID-Geräten operiert NFC auf fixen 13.56 MHz. Bei NFC ist die Sendedistanz kürzer und liegt zwischen vier und zehn Zentimetern.

RFID-Geräte sind passiv und verfügen über keine Stromversorgung, sie werden nur aktiviert, wenn ein Lesegerät in der Nähe ist. NFC kann zwar Daten senden, aber nicht empfangen. Zurzeit können die Chips noch nicht allzu grosse Datenmengen speichern. Da das Interesse an der Technologie aber gross ist, wird sich das künftig ändern.

NFC-Chips sind heute in allerlei Geräten zu finden. Das reicht von Mobiltelefonen bis zu Debitkarten mit integriertem Chip. Der Datenaustausch findet manchmal durch Verschlüsselung eines speziell dafür zuständigen Prozessors statt. Viele Chips, die implantiert werden, verfügen aber über keine solche Verschlüsselung. Eine Übertragung kann zwar gemäss Angaben nur über eine kurze Distanz stattfinden, es sind aber auch Fälle von gelungenen Übertragungen auf rund dreiviertel Meter bekannt.

NFC-Implantate sind nicht sicher. Im Gegensatz zu den Chips in Mobiltelefonen können sie auch nicht einfach so abgestellt werden. Potenzielle Angreifer könnten die Implantate für sich instrumentalisieren indem sie Malware auf Lesegeräte übertragen.

Die Cyborgisierung lässt sich nicht aufhalten, aber wir entscheiden in welcher Form wir sie wollen

Wie die obigen Beispiele zeigen, wurden bei den Cyborgtechnologien Standards übernommen, die nicht sicher sind. Die grössten Risiken lauern bei der Übertragung. Das ist einerseits der Bequemlichkeit geschuldet und andererseits den beschränkten Möglichkeiten aufgrund der Grösse der Implantate. Theoretisch sind alle kybernetischen Implantate angreifbar. Bei den Medizinischen sind die Träger unter Umständen an Leib und Leben bedroht. Der Datenschutz spielt hingegen bei medizinisch nicht notwendigen Implantaten eine grössere Rolle.

Gemäss Scott müssen die Bürgerrechte und die Privatsphäre von Implantat-Herstellern überdenkt werden. In den nächsten zehn Jahren werden kybernetische Implantate unsere Welt revolutionieren. «Security by design» – also dass bei der Entwicklung von Hard- und Software von Beginn weg darauf geachtet wird, dass sie so frei wie möglich von Schwachstellen sind – ist absolute Pflicht. Ansonsten sei die potenzielle menschliche Evolution durch Technologie gefährdet.